Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2008(UTC)
Сообщений: 6
Откуда: Kemerovo
|
http://www.cryptocom.ru/OpenSource/OpenSSL_rus.htmlЦитата:
Особенности взаимодействия с CryptoPRO CSP
Если требуется обеспечить совместимость приложений, использующих нашу реализацию алгоритмов ГОСТ с приложениями, использующими для реализации TLS CryptoPro CSP 3.0, следует учитывать следующие особенности:
Следует использовать набор параметров gost2001:XA или gost94:A при создании серверных сертификатов.
На клиентских машинах следует включить использование TLS 1.0 в Internet Explorer. По умолчанию использование TLS 1.0 в Internet Explorer выключено, а данные ciphersuites можно использовать только в TLS 1.0. Поведение CryptoPRO CSP в серверном варианте, когда он получив ClientHello с версией 3.0 (SSL 3.0) отвечает ServerHello с версией 3.1 (TLS 1.0) является грубым нарушением стандарта TLS 1.0 и нашим патчем не поддерживается
Прошу указать, имеет ли место данный факт. Отредактировано пользователем 6 июня 2008 г. 10:15:36(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 27.02.2008(UTC) Сообщений: 4 
|
Чисто формальный ответ звучит так: не существует реализаций TLS на базе ГОСТ, удовлетворяющих стандарту TLS 1.0, хотя бы потому, что стандарт требует использования хэш-функций SHA1 и MD5 для хэндшейка, независимо от выбранных сертификатов и алгоритмов. Реализации TLS на базе ГОСТ опирались на дух стандарта, но формально ему соответствовать не могли. Буквально на днях вышла наконец долгожданная версия стандарта TLS 1.2, в которой учтены наши пожелания по гибкости к национальным алгоритмам, и теперь возможно будет сделать строго соответствующую стандарту TLS 1.2 версию - однако, скорее всего не совместимую с существующими реализациями.
Если по простому, то не берите в голову. Описанное "грубое" нарушение стандарта никак не влияет на безопасность протокола, а с формальной точки зрения является "цветочками" по сравнению с теми нарушениями стандарта TLS, на которые пришлось пойти для перехода на ГОСТ и удовлетворения жестким отечественным требованиям безопасности. Сделано оно сознательно, чтобы не заставлять пользователей выставлять в настройках эти галочки, которые Майкрософт по умолчанию так криво ставит.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2008(UTC)
Сообщений: 6
Откуда: Kemerovo
|
а если рассмотреть ситуацию, что у пользователя не установлен криптопровайдер с TLS1.0 либо браузер не поддерживает его.
Значит пользователь никогда корректно не узнает о том, что он не сможет работать. Просто не будет работать и всё. Некрасиво.
Кстати, в инструкциях во всех написано, что галочку TLS1.0 надо включать, а получается, что нет?) кстати, а почему нельзя включать галочку при установке криптопровайдера?
Вопрос, который хотелось бы задать, но который, наверное, лучше отмодерировать, смотрите сами :)
А если невозможно реализовать TLS1.0, то почему это продается под названием TLS, устанавливается под названием TLS и анонсируется и сертифицировано под названием TLS1.0? Почему тогда было не назвать его по-другому, чтобы люди понимали, что это проприетарный формат КриптоПро.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
>а если рассмотреть ситуацию, что у пользователя не установлен криптопровайдер с TLS1.0 либо браузер не поддерживает его.
Собственно, сам факт успешной установки пакета "КриптоПро TLS" (для версии CSP 2.0) или "КриптоПро CSP 3.0" и выше (куда TLS уже входит) приводит к тому, что ГОСТовый TLS поддерживается в IE.
>Значит пользователь никогда корректно не узнает о том, что он не сможет работать. Просто не будет работать и всё. Некрасиво.
А что понимается под словом "работать"? Если нет КрипроПро CSP и/или TLS, то пользователь сможет ходить на любые сайты без шифрования и на сайты по TLS с НЕ-ГОСТовыми сертификатами серверов.
Установка нашего TLS даёт возможность кроме перечисленного ходить ещё и на сайты с ГОСТовыми сертификатами серверов.
По поводу галочки.
Ставить её не обязательно.
С настройками IE по умолчанию (когда галка снята) всё время (с 2001 года) наш TLS работает (когда и на клиенте, и на сервере КриптоПро CSP/TLS).
Вот если бы было наоборот - то как раз было бы некрасиво. Т.е. нужно было бы просить всех пользователей ставить эту галку.
Кстати, на новых ОС эта галка по умолчанию включена.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.04.2008(UTC)
Сообщений: 6
Откуда: Kemerovo
|
> Собственно, сам факт успешной установки пакета "КриптоПро TLS" (для версии CSP 2.0) или "КриптоПро CSP 3.0" и выше (куда TLS уже > входит) приводит к тому, что ГОСТовый TLS поддерживается в IE. Так я правильно понял, это достигается не за счет установки пакета CPPro, а за счет того, что сервер имитирует поведение SSL3.0 и веб-браузер спокойно пользуется требуемым криптопровайдером (кстати, а если будет несколько криптопровайдеров установлено, поддерживающих ГОСТовские алгоритмы и КриптоПро не будет по умолчанию? > А что понимается под словом "работать"? Если нет КрипроПро CSP и/или TLS, то пользователь сможет ходить на любые сайты без шифрования и > на сайты по TLS с НЕ-ГОСТовыми сертификатами серверов. gw:~# lynx https://10.0.0.3/Looking up 10.0.0.3 Making HTTPS connection to 10.0.0.3 Retrying connection without TLS. Looking up 10.0.0.3 Making HTTPS connection to 10.0.0.3 Alert!: Unable to make secure connection to remote host. Невразумительно, хотя, может так и должно быть.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
